Atacatorii exploateaza o vulnerabilitate noua si fara patch din Windows XP si Windows Server 2003, care le permite sa execute cod cu privilegii mai mari decat cele la care au deja acces.
Vulnerabilitatea este localizata in NDProxy.sys, “un driver de sistem care administreaza accesul la anumite servicii Telephony Application Programming Interfaces (TAPI).”
“Un atacator care exploateaza cu succes aceasta vulnerabilitate ar putea rula cod arbitrar in modul kernel. Apoi, atacatorul ar putea instala programe; ar putea vizualiza, modifica sau sterge date; sau ar putea crea conturi noi cu drepturi administrative depline” a declarat Microsoft.
Aceasta este o vulnerabilitate de tip elevation-of-privilege (EoP), nu de tip remote code execution, ceea ce inseamna ca atacatorul trebuie sa aibe deja acces la un cont de utilizator cu privilegii limitate de pe sistemul tinta, pentru a-l putea exploata.
Conform Microsoft, aceasta vulnerabilitate este deja exploatata in “atacuri limitate directionate”, dar nu afecteaza versiunile de Windows mai noi decat Windows XP si Windows Server 2003.
Compania a oferit o solutie temporara care implica dezactivarea NDProxy.sys, dar acest lucru va avea ca efect secundar nefunctionarea anumitor servicii care depind de TAPI, cum ar fi Remote Access Service (RAS), retelele dial-up si retelele virtuale private (VPN).
Aceasta vulnerabilitate EoP vizeaza in principal calculatoarele care ruleaza versiuni neactualizate de Adobe Reader pe Windows XP cu Service Pack 3. Cu toate acestea, utilizatorii care au instalata cea mai recenta versiune de Adobe Reader ar trebui sa fie protejati.
Prin urmare, sfatuim clientii de hosting sa-si faca update de urgenta la produsele Adobe Reader si sa-si securizeze sistemele de operare Windows XP cu username si parola de login.